Tcpdump基本用法:
1: 截获192.168.1.10主机收到和发出的所有数据包
#tcpdump host 192.168.1.10
2:截获主机192.168.1.10 和主机192.168.1.11 或者192.168.1.12的通信
#tcpdump host 192.168.1.10 and /( 192.168.1.11 or 192.168.1.12/)
3:获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
4:获取主机210.27.48.1接收或发出的telnet包
#tcpdump tcp port 23 host 210.27.48.1
5:本机的udp 123 端口进行监视 123 为ntp的服务端口
# tcpdump udp port 123
6:对名为hostname的主机的通信数据包进行监视。主机名可以是本地主机,也可以是网络上的任何一台计算机
#tcpdump -i eth0 src host hostname
7:监视所有送到主机hostname的数据包
#tcpdump -i eth0 dst host hostname
8:监视通过指定网关的数据包
#tcpdump -i eth0 gateway GatewayName
9: 获取指定的TCP端口数据
#tcpdump -i eth0 host hostname and port 80
10:获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
11:获取主机210.27.48.1接收或发出的telnet包
#tcpdump tcp port 23 host 210.27.48.1